你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Entity Query Templates - Get

  • 参考
Service:
Sentinel
API Version:
2024-01-01-preview

获取实体查询。

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entityQueryTemplates/{entityQueryTemplateId}?api-version=2024-01-01-preview

URI 参数

名称 必需 类型 说明
entityQueryTemplateId
 path True

string

实体查询模板 ID
resourceGroupName
 path True

string

资源组的名称。 此名称不区分大小写。
subscriptionId
 path True

string

目标订阅的 ID。
workspaceName
 path True

string

工作区的名称。

Regex pattern: ^[A-Za-z0-9][A-Za-z0-9-]+[A-Za-z0-9]$
api-version
 query True

string

要用于此操作的 API 版本。

响应

名称 类型 说明
200 OK EntityQueryTemplate:

ActivityEntityQueryTemplate

确定
Other Status Codes

CloudError

描述操作失败原因的错误响应。

安全性

azure_auth

Azure Active Directory OAuth2 流

Type: oauth2
Flow: implicit
Authorization URL: https://login.microsoftonline.com/common/oauth2/authorize

Scopes

名称 说明
user_impersonation 模拟用户帐户

示例

Get an Activity entity query template.

Sample Request

GET https://management.azure.com/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entityQueryTemplates/07da3cc8-c8ad-4710-a44e-334cdcb7882b?api-version=2024-01-01-preview

Sample Response

Status code:
200 
{
  "id": "/subscriptions/d0cfe6b2-9ac0-4464-9919-dccaee2e48c0/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace/providers/Microsoft.SecurityInsights/entityQueryTemplates/07da3cc8-c8ad-4710-a44e-334cdcb7882b",
  "name": "07da3cc8-c8ad-4710-a44e-334cdcb7882b",
  "type": "Microsoft.SecurityInsights/entityQueryTemplate",
  "kind": "Activity",
  "properties": {
    "title": "An account was deleted on this host",
    "content": "On '{{Computer}}' the account '{{TargetAccount}}' was deleted by '{{AddedBy}}'",
    "description": "Account deleted on host",
    "queryDefinitions": {
      "query": "let GetAccountActions = (v_Host_Name:string, v_Host_NTDomain:string, v_Host_DnsDomain:string, v_Host_AzureID:string, v_Host_OMSAgentID:string){\nSecurityEvent\n| where EventID in (4725, 4726, 4767, 4720, 4722, 4723, 4724)\n// parsing for Host to handle variety of conventions coming from data\n| extend Host_HostName = case(\nComputer has '@', tostring(split(Computer, '@')[0]),\nComputer has '\\\\', tostring(split(Computer, '\\\\')[1]),\nComputer has '.', tostring(split(Computer, '.')[0]),\nComputer\n)\n| extend Host_NTDomain = case(\nComputer has '\\\\', tostring(split(Computer, '\\\\')[0]), \nComputer has '.', tostring(split(Computer, '.')[-2]), \nComputer\n)\n| extend Host_DnsDomain = case(\nComputer has '\\\\', tostring(split(Computer, '\\\\')[0]), \nComputer has '.', strcat_array(array_slice(split(Computer,'.'),-2,-1),'.'), \nComputer\n)\n| where (Host_HostName =~ v_Host_Name and Host_NTDomain =~ v_Host_NTDomain) \nor (Host_HostName =~ v_Host_Name and Host_DnsDomain =~ v_Host_DnsDomain) \nor v_Host_AzureID =~ _ResourceId \nor v_Host_OMSAgentID == SourceComputerId\n| project TimeGenerated, EventID, Activity, Computer, TargetAccount, TargetUserName, TargetDomainName, TargetSid, SubjectUserName, SubjectUserSid, _ResourceId, SourceComputerId\n| extend AddedBy = SubjectUserName\n// Future support for Activities\n| extend timestamp = TimeGenerated, HostCustomEntity = Computer, AccountCustomEntity = TargetAccount\n};\nGetAccountActions('{{Host_HostName}}', '{{Host_NTDomain}}', '{{Host_DnsDomain}}', '{{Host_AzureID}}', '{{Host_OMSAgentID}}')\n \n| where EventID == 4726 "
    },
    "inputEntityType": "Host",
    "requiredInputFieldsSets": [
      [
        "Host_HostName",
        "Host_NTDomain"
      ],
      [
        "Host_HostName",
        "Host_DnsDomain"
      ],
      [
        "Host_AzureID"
      ],
      [
        "Host_OMSAgentID"
      ]
    ],
    "entitiesFilter": {
      "Host_OsFamily": [
        "Windows"
      ]
    },
    "dataTypes": [
      {
        "dataType": "AuditLogs"
      },
      {
        "dataType": "SecurityEvent"
      }
    ]
  }
}

定义

名称 说明
ActivityEntityQueryTemplate

表示活动实体查询。
CloudError

错误响应结构。
CloudErrorBody

错误详细信息。
createdByType

创建资源的标识类型。
DataTypeDefinitions

数据类型定义
EntityQueryTemplateKind

实体查询模板的类型。
EntityType

查询的源实体的类型
QueryDefinitions

活动查询定义
systemData

与资源的创建和上次修改相关的元数据。

ActivityEntityQueryTemplate

表示活动实体查询。

名称 类型 说明
id

string

资源的完全限定的资源 ID。 例如 - /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
kind string:

Activity

实体查询模板类型
name

string

资源的名称
properties.content

string

要显示在 时间线 中的实体查询内容
properties.dataTypes

DataTypeDefinitions[]

给定实体查询模板的所需数据类型列表
properties.description

string

实体查询说明
properties.entitiesFilter

object

查询仅应用于与所有筛选器匹配的实体
properties.inputEntityType

EntityType

查询的源实体的类型
properties.queryDefinitions

QueryDefinitions

活动查询定义
properties.requiredInputFieldsSets

string[]

运行查询所需的源实体字段列表
properties.title

string

实体查询标题
systemData

systemData

包含 createdBy 和 modifiedBy 信息的 Azure 资源管理器元数据。
type

string

资源类型。 例如“Microsoft.Compute/virtualMachines”或“Microsoft.Storage/storageAccounts”

CloudError

错误响应结构。

名称 类型 说明
error

CloudErrorBody

错误数据

CloudErrorBody

错误详细信息。

名称 类型 说明
code

string

错误的标识符。 代码是固定的,旨在以编程方式使用。
message

string

描述错误的消息,该消息适用于在用户界面中显示。

createdByType

创建资源的标识类型。

名称 类型 说明
Application

string

Key

string

ManagedIdentity

string

User

string

DataTypeDefinitions

数据类型定义

名称 类型 说明
dataType

string

数据类型名称

EntityQueryTemplateKind

实体查询模板的类型。

名称 类型 说明
Activity

string

EntityType

查询的源实体的类型

名称 类型 说明
Account

string

实体表示系统中的帐户。
AzureResource

string

实体表示系统中的 azure 资源。
CloudApplication

string

实体表示系统中的云应用程序。
DNS

string

实体表示系统中的 dns。
File

string

实体表示系统中的文件。
FileHash

string

实体表示系统中的文件哈希。
Host

string

实体表示系统中的主机。
HuntingBookmark

string

实体表示系统中的 HuntingBookmark。
IP

string

实体表示系统中的 IP。
IoTDevice

string

实体表示系统中的 IoT 设备。
MailCluster

string

实体表示系统中的邮件群集。
MailMessage

string

实体表示系统中的邮件。
Mailbox

string

实体表示系统中的邮箱。
Malware

string

实体表示系统中的恶意软件。
Nic

string

实体表示系统中的网络接口。
Process

string

实体表示系统中的进程。
RegistryKey

string

实体表示系统中的注册表项。
RegistryValue

string

实体表示系统中的注册表值。
SecurityAlert

string

实体表示系统中的安全警报。
SecurityGroup

string

实体表示系统中的安全组。
SubmissionMail

string

实体表示系统中的提交邮件。
URL

string

实体表示系统中的 URL。

QueryDefinitions

活动查询定义

名称 类型 说明
query

string

在给定实体上运行的活动查询
summarizeBy

string

要汇总时间线结果的维度,这是逗号分隔列表

systemData

与资源的创建和上次修改相关的元数据。

名称 类型 说明
createdAt

string

资源的创建时间戳 (UTC) 。
createdBy

string

创建资源的标识。
createdByType

createdByType

创建资源的标识类型。
lastModifiedAt

string

资源上次修改的时间戳 (UTC)

lastModifiedBy

string

上次修改资源的标识。
lastModifiedByType

createdByType

上次修改资源的标识类型。